Panduan Kata Sandi Kuat: Milik Anda terlalu lemah, ini solusi untuk …

Cara membuat dan mengingat kata sandi yang kuat


Kata sandi 6 huruf dapat ditebak oleh komputer dalam 1 detik (jika itu adalah kata dari kamus). Kata kecil 9 huruf (seperti ‘spageti’) hanya membutuhkan waktu kurang dari 32 menit. Dan ketika saya menebak, saya tidak bermaksud peluang kecil. Maksud saya kepastian 100% bahwa kata sandi Anda dapat di-crack, menggunakan apa yang dikenal sebagai ‘Serangan Kamus’.

Ini hanyalah salah satu dari banyak teknik yang dimiliki peretas untuk mendapatkan akses tidak sah ke akun Anda. Dan bagaimana jika Anda menggunakan kata sandi yang sama pada banyak akun? Bagaimana jika peretas mendapatkan akses ke akun email utama Anda, dan dari mereka dapat mengatur ulang kata sandi ke akun lain Anda!

Kerusakan akan sangat besar, dan mungkin tidak bisa diperbaiki.

Kami berbicara tentang kemungkinan kehilangan uang, kehilangan akses akun secara permanen, pencurian identitas, pencemaran nama baik publik, paparan informasi pribadi atau keuangan yang sensitif. Percayalah, itu akan buruk.

Sekarang setelah saya mendapatkan perhatian Anda, izinkan saya menunjukkan betapa tidak amannya kata sandi Anda (dan praktik terbaik mutlak untuk melindungi keamanan akun online dan offline).

Contents

Di artikel ini, Anda akan belajar:

  1. 4 tips cepat untuk kata sandi yang lebih kuat (tetapi Anda akan belajar lebih banyak jika membaca seluruh artikel)
  2. Bagaimana kata sandi di-crack (kata pengantar)
  3. Serangan Kamus
  4. Tabel Pelangi
  5. Keamanan Kata Sandi
    1. Anatomi kata sandi yang kuat
    2. Praktik Terbaik Kata Sandi (kata sandi unik, otentikasi 2 faktor, dll)
    3. Cara mengingat / menyimpan kata sandi Anda yang kuat
  6. Vault Kata Sandi (cloud dan opsi self-host)
  7. Otentikasi Dua Faktor (Anda memerlukan ini. Hari ini.)
  8. Ringkasan dan Sumber Daya Tambahan

4 Aturan untuk Kata Sandi yang Kuat

Berikut ini adalah tip teratas saya yang cepat dan kotor untuk memaksimalkan kata sandi dan keamanan akun Anda dalam waktu singkat. Kiat-kiat ini adalah titik awal yang baik, tetapi jika Anda punya waktu, Anda akan belajar lebih banyak dengan membaca seluruh artikel.

# 1 – Gunakan Kata Sandi yang Kuat

Ini sepertinya tidak perlu dipikirkan, tetapi kebanyakan orang tidak tahu apa artinya ‘kuat’. Ini cheatsheat:

  1. Kuat – Gunakan minimal 3 dari 4 (huruf besar, huruf kecil, angka, simbol)
  2. Panjang – 11+ karakter minimum. 16 atau lebih lama jika Anda mengabaikan aturan # 1
  3. Acak – Jauh lebih mudah untuk memecahkan kata sandi yang berisi kata-kata nyata (‘Donkey1975’)

# 2 – Gunakan beberapa kata sandi unik

Jika sebuah situs memiliki pelanggaran data dan login / kata sandi Anda dicuri (saya jamin ini sudah terjadi setidaknya satu kali) berapa banyak situs lain yang dapat diakses oleh peretas dengan kredensial Anda? Idealnya Anda ingin nomor itu menjadi – NOL.

Pada kenyataannya, kebanyakan orang harus menjawab di antara “Beberapa” dan “Hampir semuanya …”

Tidak pernah PERNAH menggunakan kembali kata sandi untuk situs web yang sangat penting seperti:

  1. akun bank
  2. 401k / Stock akun
  3. Surel

# 3 – Gunakan Vault Kata Sandi (untuk mengingat kata sandi Anda)

Masalah dengan kata sandi yang kuat adalah tidak mungkin untuk mengingat semuanya. Untungnya, ada beberapa ‘Gudang Kata Sandi’ dan solusi kata sandi cloud yang dapat menghasilkan dan mengingat semua kata sandi Anda yang kuat untuk setiap situs web. Yang perlu Anda lakukan adalah mengingat 1 tunggal ‘Kata Sandi Utama’.

Rekomendasi pribadi saya:

  • Lastpass – Solusi cloud, dapat diakses di mana saja. Ekstensi browser dan dukungan seluler.
  • Keepass – Pengunci kata sandi yang di-host dan terenkripsi. Disimpan di perangkat Anda sendiri.

# 4 – Mengaktifkan otentikasi 2 faktor

Otentikasi dua faktor menambahkan lapisan keamanan kedua ke proses login. Kata sandi saja tidak cukup. Anda memerlukan kata sandi dan akses ke perangkat otentikasi (yang biasanya ponsel Anda yang menerima permintaan verifikasi melalui teks atau pemberitahuan push).

Ini tidak terlalu merepotkan seperti kedengarannya, dan banyak sistem 2FA hanya perlu memverifikasi Anda sekali, kecuali Anda mencoba masuk nanti dari perangkat yang tidak dikenal.

Dua akun paling penting untuk 2FA:

  1. Gudang Kata Sandi Anda (Jika tidak, jika seseorang mencuri kata sandi master Anda, mereka dapat mengakses akun apa pun).
  2. Email mu (Seorang hacker dengan akses ke email Anda dapat dengan mudah mengatur ulang kata sandi ke akun lain).

Lastpass memiliki beberapa opsi (gratis) untuk menambahkan otentikasi 2 faktor ke akun Anda. Sejauh penyedia email pergi, sebagian besar telah lambat untuk mengadopsi teknologi 2FA. Pengecualian penting adalah Google, yang telah dimiliki Otentikasi 2 faktor di gmail selama bertahun-tahun.

Bagaimana Kata Sandi Retak

Bagian ini akan memberi Anda pengantar yang solid tentang berbagai cara kata sandi Anda dapat dikompromikan (vektor ancaman). Kami juga akan membahas metode yang digunakan oleh situs web untuk secara aman (atau terkadang tidak aman) menyimpan kredensial masuk Anda.

Anda juga akan belajar bagaimana peretas dapat merekayasa balik basis data kata sandi terenkripsi (dan bagaimana melindungi diri Anda sendiri).

Ada dua cara utama kata sandi Anda dapat di-crack:

  1. Kata sandi menebak / serangan brute force
  2. Membalikkan kata sandi rekayasa yang dicuri dari situs yang diretas.

Serangan tebak kata sandi

Serangan-serangan ini bekerja (baik online maupun offline) dengan mencoba beberapa kata sandi berbeda untuk nama pengguna yang sama secara berurutan. Komputer yang cepat dapat mencoba ribuan (atau bahkan jutaan) kombinasi per detik. Mengira serangan bekerja jauh lebih cepat dalam skenario offline (memecahkan OS atau kata sandi file).

Menebak serangan terhadap situs web akan lebih lambat, karena server web akan membatasi seberapa cepat pengguna dapat mencoba kombinasi kata sandi baru.

Serangan tebakan umum:

  1. Kasar – Mencoba setiap kombinasi karakter yang mungkin
  2. Kamus Attack – Tebak kata / kata sandi yang paling umum

Serangan Brute Force

Ini adalah bentuk serangan tebakan kata sandi yang paling sederhana. Peretas menggunakan perangkat lunak untuk mencoba setiap kombinasi karakter yang mungkin dalam setiap panjang kata sandi, sampai yang benar ditemukan.

Karena persyaratan kata sandi situs web tertentu diketahui publik (seperti such harus mengandung setidaknya 1 angka) aturan serangan brute force dapat disesuaikan dengan persyaratan kata sandi minimum situs web websites.

Ada beberapa situs yang dapat memperkirakan jumlah waktu yang diperlukan untuk memecahkan kata sandi yang berbeda dengan kepastian 100% oleh brute force. Anda bahkan dapat melihat perbedaan waktu untuk PC pribadi vs. botnet atau superkomputer.

Situs untuk memperkirakan kekuatan kata sandi Anda:

  • Periksa kata sandi aman Kapersky
  • Pengukur Kata Sandi
  • Berapa lama untuk meretas kata sandi saya

Apakah menurut Anda 12 karakter huruf kecil merupakan kata sandi yang kuat? Pikirkan lagi. Berikut adalah hasil brute force untuk kata sandi ‘Vpnuniversity’ menggunakan alat kata sandi Kapersky:

Kata sandi kasar rusak (Alat kata sandi aman Kapersky)

Kata sandi ‘vpnuniversity crack dipecahkan dalam 25 menit oleh laptop Macbook 2012

Betul. Seorang peretas remaja dengan Macbook berusia 4 tahun dapat memecahkan kata sandi dengan huruf kecil 12 karakter dalam waktu yang lebih singkat daripada yang diperlukan untuk menonton episode ‘Seinfeld’. Dan botnet bisa melakukannya dalam satu detik.

Kemudian di artikel ini (di bagian keamanan kata sandi) kami akan membandingkan hasil ini dengan kata sandi 12 karakter yang dihasilkan secara acak yang berisi semua 4 jenis karakter. Petunjuk: Jauh lebih kuat.

Kamus Attack

Serangan Kamus adalah cara pintas kasar yang membuat mampu menebak kata sandi jauh lebih efisien dengan membuat asumsi spesifik tentang kata sandi Anda. Secara khusus, kata sandi Anda mengandung kata-kata yang dapat diidentifikasi dan / atau frasa kata sandi yang umum.

Dengan membatasi serangan kata sandi hanya pada kombinasi kata sandi termasuk kata-kata yang dikenal (atau kata sandi non-kata umum lainnya seperti ‘123123’) seorang penyerang dapat membuat serangan brute-force jauh lebih efisien. Alasannya? Hanya sebagian kecil (kurang dari 0,1%) dari semua kombinasi karakter acak yang benar-benar akan mengandung kata-kata yang diketahui dari 4 karakter atau lebih.

Keuntungan: Dengan anggapan Anda menggunakan kata sandi yang rentan terhadap serangan kamus, kata sandi Anda bisa dibobol dalam waktu kurang dari 1/1000 dari waktu yang diperlukan komputer untuk mencoba kombinasi karakter acak hingga ditemukan kecocokan. Akibatnya, sebagian besar serangan menebak online adalah serangan kamus.

Kekurangan: Serangan kamus tidak mungkin menebak kata sandi yang terdiri dari karakter, angka, dan simbol yang murni acak. Jika kata sandi tidak mengandung kata, kecocokan tidak akan pernah ditemukan, bahkan jika serangan berjalan untuk periode waktu yang tak terbatas.

Data Hacks, Enkripsi Kata sandi & Dekripsi

Sementara serangan tebak kata sandi menargetkan hanya satu pengguna pada satu waktu, pelanggaran data dapat mengekspos kredensial login untuk ribuan atau bahkan jutaan pengguna sekaligus. Ada beberapa pelanggaran data MASSIVE dalam 4 tahun terakhir, termasuk Target, Ashley Madison, dan Adobe.

Bagian ini akan melihat teknik yang digunakan (atau tidak) digunakan situs web untuk menyimpan kata sandi Anda dengan aman, serta teknik yang paling umum (seperti Tabel Pelangi) yang digunakan peretas untuk membalikkan rekayasa basis data kata sandi terenkripsi..

Bagaimana situs web menyimpan kata sandi

Sebagian besar situs web yang menyimpan data pengguna mengambil tindakan pencegahan untuk menyimpan kata sandi dalam bentuk terenkripsi. Jika benar diputuskan, bahkan jika basis data pengguna dicuri selama peretasan, akan sulit atau tidak mungkin mendekripsi kata sandi menjadi plaintext.

Situs web menyimpan kata sandi menggunakan teknik yang disebut ‘Hashing’.

Apa itu Hashing?

Pada bentuknya yang paling sederhana, Fungsi Hash Kriptografis atau algoritme ‘Hash’ adalah seperangkat aturan matematika yang mengubah potongan teks apa pun menjadi string karakter acak dengan panjang tetap (tidak peduli berapa lama teks yang dimasukkan, hash yang dihasilkan akan selalu menjadi jumlah karakter yang sama).

Matematika di balik hashing sangat kompleks, dan ada beberapa algoritma hashing untuk dipilih, tetapi semuanya memiliki 1 kesamaan, yang merupakan inti mengapa hash adalah cara yang baik untuk menyimpan kata sandi …

Fungsi Cryptographic Hash adalah fungsi satu arah. Yang artinya, mudah untuk menghitung hash dari potongan teks, tetapi secara matematis sangat sulit (pada dasarnya tidak mungkin) untuk secara matematis mengkonversi hash kembali ke teks asli.

Ada juga 3 properti penting CHF:

  1. String teks tertentu seperti ‘kata sandi’ akan selalu menghasilkan hasil hash yang sama
  2. Mengubah 1 karakter input (‘kata sandiy‘) Akan secara dramatis mengubah hash ouput
  3. Sangat tidak mungkin untuk dua string input teks berbeda untuk menghasilkan output hash yang sama.

Ada banyak situs gratis tempat Anda dapat menghitung hash sendiri untuk melihat bagaimana prosesnya bekerja. Berikut adalah pasangannya:

  • http://www.sha1-online.com – menggunakan fungsi hash SHA1.
  • Generator MD5 – Menggunakan fungsi hashing MD5 (tidak lagi dianggap aman)

Misalnya, melakukan algoritma hash SHA1 pada kata ‘kata sandi’ menghasilkan ini:

Contoh hash SHA-1

SHA-1 hash dari kata ‘kata sandi’

Bagaimana situs web menggunakan hashing untuk enkripsi kata sandi

Saat Anda membuat nama pengguna / kata sandi pada sebuah kombo, situs web tidak benar-benar menyimpan kata sandi Anda di basis data itu. Sebagai gantinya, mereka menyimpan Hash kata sandi Anda. Saat Anda mencoba masuk, situs akan menghitung hash dari teks yang Anda masukkan di bidang ‘kata sandi’, dan membandingkan hasilnya dengan hash yang disimpan dalam database. Jika cocok, login Anda akan berhasil.

Jadi pada kenyataannya, situs web tidak benar-benar tahu apa kata sandi Anda (itulah sebabnya Anda biasanya hanya dapat mereset kata sandi Anda, Anda tidak dapat benar-benar mengambilnya jika Anda lupa).

Keuntungan dari hal ini jelas: Jika basis data pengguna situs dicuri, peretas tidak akan benar-benar memiliki kata sandi Anda, mereka hanya akan tahu hash kata sandi, yang tidak cukup untuk masuk ke akun Anda.

Tunggu, mengapa peretas tidak bisa masuk menggunakan hash yang mereka curi?

Karena ketika mereka mencoba masuk, situs web akan menghitung hash dari apa pun yang dimasukkan di bidang ‘kata sandi’. Jika peretas hanya mencoba menggunakan hash yang mereka curi sebagai kata sandi, situs web akan menghitung hash hash yang tidak cocok dengan kredensial info masuk dalam basis data, dan info masuk mereka akan ditolak.

Sebagai contoh. Kami sudah menghitung hash dari kata ‘kata sandi’ tetapi bagaimana jika Anda menghitung hash dari hash? Anda mendapatkan ini …

Contoh hash

Hash dari hash ‘kata sandi’

Jadi, sementara mereka mencuri hash terenkripsi dari kata sandi Anda, mereka masih tidak tahu apa kata sandi Anda sebenarnya. Tapi Mr. Hacker masih memiliki trik di lengan bajunya. Ini disebut a Meja Pelangi dan dia mungkin dapat mendekripsi kata sandi Anda …

Tabel Pelangi

Menurut definisi, fungsi Hash secara matematis tidak mungkin untuk dibalik (Anda tidak dapat menghitung teks asli berdasarkan hash yang dikeluarkan) sehingga peretas memutuskan untuk mencari masalah dari arah yang berbeda. Solusinya? Meja pelangi.

Pendekatan baru ini sebenarnya lebih mirip metode brute force. Peretas ingin mendekripsi basis data kata sandi hash, jadi dia benar-benar menggunakan perangkat lunak untuk menghitung hash jutaan (atau bahkan milyaran) kombinasi kata sandi. Hash yang dihitung ini disimpan dalam konfigurasi basis data yang dikenal sebagai ‘Rainbow Table’.

Setelah ia memiliki tabel pelangi, peretas dapat dengan mudah membandingkan database hash curiannya, dengan tabel pelangi hash yang dihitung. Setiap kali perangkat lunak menemukan kecocokan, peretas dapat dengan mudah menyimpulkan kata sandi, karena tabel pelangi memetakan setiap kata sandi plaintext ke hashnya.

Seberapa layak serangan Rainbow Table?

Sangat, seperti pelanggaran Ashley Madison terbukti. Dengan menggunakan tabel pelangi, para peretas dapat mendekripsi lebih dari 11 juta dari 30 juta kata sandi yang dicuri dalam pelanggaran, karena beberapa akun pengguna awal di-hash dengan algoritma tidak aman MD5.

Mengakses meja pelangi sangat mudah. Percaya atau tidak, Anda dapat membuat tabel pelangi sendiri di komputer di rumah menggunakan perangkat lunak gratis seperti Rainbow Crack. Ada juga database gratis yang tersedia untuk dibeli, atau bahkan gratis di situs torrent dan forum peretasan. Bahkan ada situs web gratis yang memeriksa hash terhadap tabel nilai yang telah dihitung.

Tidak mengherankan, hash kata sandi satu kata yang umum dapat didekripsi hampir secara instan menggunakan database online gratis (yang banyak lebih kecil dari tabel pelangi nyata).

Apakah Anda berpikir untuk menjadikan kata sandi Anda tim sepak bola (Amerika) favorit Anda? Pikirkan lagi…

Hash lookup password terbalik

Kata sandi satu kata pendek mudah dibalik

Kelemahan dan Pertahanan Table Rainbow

Tabel pelangi memiliki satu kelemahan utama: ada batasan berapa banyak data yang dapat mereka simpan sebelum menjadi lambat, berat atau terlalu besar untuk disimpan. Meja pelangi portabel hanya dapat menyimpan hash untuk semua kombinasi kata sandi hingga 12 karakter sebelum mulai menjadi semakin tidak layak dari sudut pandang waktu dan biaya (tingkat daya pemrosesan itu tidak gratis).

Batas-batas ini dapat diperpanjang sedikit jika tabel pelangi tidak menyertakan semua kombinasi karakter acak, tetapi berfokus pada kombinasi kata yang diketahui (seperti serangan kamus).

Ada dua teknik utama untuk memanfaatkan batasan ini dan menjaga keamanan kata sandi Anda:

  1. Penggaraman (Diimplementasikan oleh situs web ketika hashing kata sandi Anda)
  2. Kata sandi yang lebih kuat (yang ini pada Anda teman.)

Penggaraman Kata Sandi

Sejauh ini, salting adalah pertahanan nomor satu terhadap tabel pelangi, dan penggunaan salting kata sandi yang tepat dapat membuat serangan itu hampir sepenuhnya tidak praktis, karena memaksa hacker untuk menghasilkan tabel pelangi unik (dan besar) untuk setiap kata sandi individu yang ingin mereka crack.

Secara sederhana, a Garam adalah serangkaian karakter acak yang ditambahkan ke akhir kata sandi Anda sebelum di hash untuk disimpan dalam basis data situs. Basis data menyimpan hash, serta nilai garam sehingga dapat menghitung hash dengan benar setiap kali Anda masuk.

Karena setiap pengguna akun pengguna memiliki nilai garam yang berbeda ketika kata sandi mereka dibuat, tabel pelangi yang dibuat menggunakan garam yang diketahui (dicuri dari basis data) hanya akan berfungsi untuk merekayasa ulang kata sandi dari satu pengguna tersebut (dengan asumsi garam membuat kata sandi + panjang garam jauh ke panjang untuk disimpan di meja pelangi).

Agar tabel pelangi yang sama digunakan untuk mendekripsi semua hash dalam database, tabel tersebut harus cukup besar untuk memuat semua kombinasi input, panjang kata sandi + panjang garam. Dengan membuat garam cukup besar (bahkan 16 karakter akan banyak) menghitung hash dari semua kombinasi yang mungkin akan menjadi tidak mungkin.

Menggunakan nilai garam yang berbeda untuk setiap pengguna juga berarti bahwa bahkan jika dua pengguna memiliki kata sandi yang sama, hash yang disimpan dalam database akan berbeda untuk masing-masing (karena garam unik ditambahkan ke kata sandi sebelum hashing, sehingga mengubah output.

Ashley Madison tidak garam dengan benar kata sandi mereka, itulah sebabnya sangat mudah untuk mendekripsi hash MD5 yang dicuri dalam pelanggaran.

Kata sandi panjang

Sebagian besar perusahaan akan mengikuti prosedur keamanan yang tepat dan menggunakan garam besar sebelum memasukkan kata sandi Anda untuk penyimpanan. Oleh sebagian orang, baik melalui kemalasan atau ketidaktahuan. Ini hanyalah alasan lain mengapa Anda harus melakukannya sendiri untuk membuat kata sandi Anda sekuat mungkin.

Dengan membuat kata sandi Anda 16+ karakter, menggunakan semua 4 jenis karakter, Anda dapat membuat serangan tabel pelangi tidak praktis bahkan terhadap hash yang tidak diasah.

Peretas akan puas membalikkan 90% kata sandi yang lemah oleh pengguna yang tidak tahu apa-apa, dan data Anda semoga tetap aman dan terlindungi.

Kata Sandi yang Kuat (Semua yang perlu Anda ketahui)

Jika Anda mengikuti praktik terbaik yang disarankan untuk pemilihan dan penyimpanan kata sandi ini, Anda akan secara dramatis mengurangi paparan risiko Anda jika terjadi pelanggaran data. Tidak ada yang bisa menjamin keamanan absolut (tentu saya tidak bisa) tetapi prinsip-prinsip ini adalah langkah besar ke arah yang benar.

Apa yang merupakan kata sandi yang kuat?

Kata sandi yang baik idealnya sepanjang mungkin, sebanyak mungkin acak (atau setidaknya tampak acak), dan mengandung sebanyak mungkin tipe karakter:

4 jenis karakter adalah:

  • huruf besar
  • huruf kecil
  • angka
  • simbol

Untuk mengilustrasikan betapa pentingnya untuk menambahkan sebanyak mungkin dari 4 tipe karakter ini ketika Anda membuat kata sandi, mari pertimbangkan kesulitan untuk memecahkan kata sandi Anda melalui brute force:

Ada 26 huruf kecil (dalam alfabet bahasa Inggris) sehingga kata sandi semua huruf kecil memiliki 8 karakter 268 kombinasi unik.

Jika Anda menambahkan huruf besar, angka 0-9, dan 10 simbol (10 tersedia dengan menekan SHIFT + [a angka 0-9]), Anda mendapatkan 72 pilihan karakter unik. Dalam kata sandi 8 karakter, ini menghasilkan 728 kombinasi unik.

Apakah Anda ingin menebak berapa banyak kemungkinan kombinasi yang ada ketika Anda menggunakan 72 karakter untuk kata sandi Anda?

Mari berhitung:

268 = 208.827.064.576

728 = 722.204.136.308.736

728/268 = 3458 (dibulatkan ke bilangan bulat terdekat).

Dengan kata lain, jika perlu 1 hari untuk memecahkan kata sandi pertama, dibutuhkan hampir 10 tahun untuk memecahkan kata sandi kedua.

Saat Anda beralih ke 12 karakter, perbedaannya bahkan lebih dramatis:

7212 / 2612 = 203.381 kali lebih kuat.

Aturan untuk kata sandi yang baik:

  • Kuat (beberapa jenis karakter)
  • Panjang (Minimum 11 karakter, 13+ lebih baik)
  • Acak (Hindari menggunakan kata-kata umum yang rentan terhadap serangan kamus).

Kata Sandi Praktik Terbaik (Akan meminimalkan paparan Anda setelah pelanggaran data).

Ikuti aturan sederhana ini untuk meminimalkan kerusakan (jika ada) yang bisa terjadi jika peretas mencuri database yang berisi salah satu kata sandi Anda.

Aturan # 1 – Gunakan Kata Sandi Unik (Khusus untuk akun penting).

Kebanyakan orang menggunakan kata sandi yang sama berulang kali untuk akun yang berbeda. Masalah dengan ini sudah jelas. Jika seorang hacker mencuri kata sandi Anda, ia sekarang dapat mengakses akun apa pun yang menggunakan kombinasi login / kata sandi itu.

Jika Anda menggunakan kata sandi unik untuk setiap akun, pencurian satu kata sandi tidak membuat akun lain Anda rentan. Gudang kata sandi seperti Lastpass memiliki penghasil kata sandi acak yang dapat membantu Anda memilih kata sandi yang unik dan kuat untuk setiap situs.

Tidak ada alasan seseorang harus dapat mengakses rekening bank Anda hanya karena mereka meretas akun twitter Anda (dan jika Anda yakin selebriti, Twitter akan diretas sepanjang waktu). Gunakan kata sandi unik.

Aturan # 2 – Mengaktifkan otentikasi 2 faktor untuk akun penting Anda

Jika Anda belum menggunakan 2FA, Anda seharusnya. Sangat sulit bagi orang lain untuk mengendalikan akun Anda, walaupun mereka memiliki kombinasi login / kata sandi yang benar. Mudah diimplementasikan, tersedia di banyak situs, dan biasanya gratis.

Apa itu Otentikasi Dua Faktor

2FA (terkadang juga disebut dua faktor verifikasi) adalah tindakan keamanan yang mengharuskan pengguna menyelesaikan 2 langkah terpisah sebelum mengakses akun. Kombinasi 2FA yang paling umum adalah:

  1. Sesuatu yang Anda ketahui (kombinasi login / kata sandi)
  2. Sesuatu yang Anda miliki (Smartphone, token keamanan, flash drive, dll …)

Setelah Anda memasukkan login / kata sandi, Anda menggunakan perangkat verifikasi fisik Anda untuk menyelesaikan login. Seringkali ini berupa pesan teks atau pemberitahuan push yang dikirim ke ponsel cerdas Anda, yang berisi kode verifikasi unik (dan sementara).

Bahkan jika seorang hacker berhasil mendekripsi kata sandi Anda, sangat kecil kemungkinannya bahwa ia akan bisa mendapatkan perangkat autentikasi Anda (kecuali dia Betulkah termotivasi).

Di mana harus menggunakan 2FA?

Meskipun banyak situs web yang menawarkan otentikasi 2 faktor, sebagian besar tidak. Itu juga menambahkan sedikit waktu untuk proses login, jadi biasanya hanya bermanfaat untuk situs web yang paling penting.

Ada 3 kategori utama situs yang kami sangat sarankan untuk mengaktifkan 2FA:

  1. Akun email utama Anda
  2. Gudang cloud kata sandi Anda (jika Anda menggunakannya)
  3. Rekening bank / broker

Mengapa jenis akun ini?

Rekening Bank / Pialang / Pensiun – Akun ini adalah pilihan yang jelas untuk 2FA, karena pelanggaran akun akan sangat menghancurkan. Sebagian besar kekayaan bersih Anda (di luar rumah Anda jika Anda memilikinya) pada dasarnya hanya digit dalam database komputer. Jika seorang peretas mendapatkan akses ke akun Anda, ia dapat mentransfer tabungan seumur hidup Anda ke akun lain, dan Anda akan, seperti yang kita katakan, Shit Outta Luck.

Akun vault Email / Kata Sandi – Dalam banyak hal, akun ini sebenarnya yang paling penting, karena akun gateway mereka. Jika seorang hacker dapat mengakses email Anda, ia dapat mengatur ulang kata sandi Anda untuk situs web apa pun yang menggunakan alamat email itu. Gudang kata sandi bahkan lebih berbahaya, dan jika disusupi, peretas dapat benar-benar mengunduh semua kombinasi login Anda berupa teks biasa. Astaga.

Namun, ada sedikit berita buruk. Sangat sedikit penyedia layanan email yang menganggap 2FA sepadan dengan upaya tersebut. Untungnya, google terus berada di ujung tombak keamanan pribadi. Mengaktifkan otentikasi 2 faktor untuk Gmail cepat dan mudah.

Mengapa Anda memerlukan pengelola kata sandi

Masalah dengan kata sandi yang kuat dan unik adalah mereka tidak mungkin untuk diingat. Secara harfiah.

Itulah sebabnya jutaan (mungkin miliaran) pengguna beralih ke layanan pengelolaan kata sandi seperti Lastpass, Keepass, Dashlane, dan 1Password. Yang perlu Anda ingat adalah 1 tunggal ‘Kata Sandi Utama’ dan pengelola kata sandi melakukan semua pengangkatan dan penyimpanan kredensial daring Anda yang berat.

Sebagian besar layanan ini adalah ‘berbasis cloud’, yang berarti brankas kata sandi Anda tersedia dari lokasi mana pun dengan koneksi internet. Kata sandi Anda akan disimpan dalam basis data terenkripsi, menggunakan teknologi yang sama dengan enkripsi hard drive profesional (yang seharusnya tetap melindungi data Anda meskipun basis data diretas).

Ada dua jenis pengelola kata sandi:

  1. Solusi mandiri (offline).
  2. Solusi cloud (online)

Cloud dan self-host password manager menyelesaikan hal yang sama (menyimpan dan mengingat semua kata sandi Anda dalam bentuk terenkripsi) tetapi masing-masing memiliki pro dan kontra sendiri.

Host kata sandi sendiri Host vs berbasis cloud

Mayoritas layanan manajemen kata sandi sekarang berbasis cloud karena cloud memungkinkan pengguna untuk menyinkronkan kata sandi mereka di semua perangkat dan mengakses kata sandi mereka dari perangkat apa pun dengan koneksi internet. Meskipun kenyamanan ini adalah manfaat besar, ada juga dua peringatan:

  1. Anda harus mempercayai perusahaan pengelola kata sandi Anda untuk tidak kehilangan (atau bahkan mencuri) kata sandi Anda.
  2. Anda harus memercayai kemampuan mereka untuk mengenkripsi dan melindungi kata sandi Anda dari pencurian oleh orang lain.

Intinya: Selama Anda tetap berpegang pada manajemen kata sandi nama paling tepercaya, data Anda harus aman dan Anda dapat percaya bahwa kata sandi Anda dilindungi menggunakan praktik terbaik standar industri seperti:

  • Enkripsi tanpa pengetahuan (Hanya Anda yang memiliki kunci enkripsi)
  • HTTPS mentransfer data terenkripsi kata sandi ke / dari lemari besi Anda
  • Penggaraman kata sandi hash (sehingga mereka sulit untuk merekayasa balik bahkan jika lemari besi Anda dilanggar).

3 pengelola kata sandi favorit kami

3 pengelola kata sandi favorit kami (tidak berurutan) adalah:

  • Lastpass (hanya cloud)
  • Dashlane (cloud dan sinkronisasi lokal)
  • Keepass (brankas lokal dengan opsi sinkronisasi)

Masing-masing memiliki kelebihannya sendiri, dan mana yang harus Anda pilih akan tergantung pada anggaran Anda, preferensi privasi, dan apakah Anda lebih mengutamakan kenyamanan daripada keamanan.

Lasspass (Cloud | Freemium)

Lasspass adalah pengelola kata sandi hanya cloud yang membuat detail login Anda mudah diakses dari perangkat apa pun.

Mereka beroperasi pada model penetapan harga freemium, di mana ekstensi browser PC atau gratis tetapi Anda harus membayar untuk mengakses lemari besi lastpass Anda dari perangkat seluler Anda.

Lastpass firefox

Lastpass ekstensi firefox

Bagaimana Lastpass Bekerja

Anda menggunakan Lastpass dengan menginstal ekstensi mereka untuk browser web favorit Anda (semua browser utama didukung). Anda masuk ke akun lastpass Anda dengan satu ‘Kata Sandi Utama’ yang kemudian memberi Anda akses ke Lastpass lengkap Anda ‘lemari besi’.

Lastpass akan secara otomatis mengisi lebih dulu bidang login / kata sandi untuk situs yang disimpan (atau bahkan autologin jika Anda mau).

Semua nama pengguna / kata sandi Anda dienkripsi secara lokal sebelum mengirimkannya ke cloud lastpass menggunakan enkripsi AES 256-bit. Lastpass bahkan tidak tahu kata sandi Master Anda (mereka hanya menyimpan hash asin untuk verifikasi login). Ini adalah palang kata sandi nol-pengetahuan sejati.

Apakah LastPass aman?

Sangat. Seluruh basis data Anda disimpan dalam bentuk terenkripsi, sehingga meskipun data dicuri dari server cloud mereka, peretas yang sangat kecil kemungkinannya dapat merusak enkripsi yang melindungi kata sandi Anda..

Lastpass sebenarnya diretas pada tahun 2015 tetapi para penyusup tidak dapat berkompromi dengan akun pengguna berkat beberapa langkah-langkah keamanan yang berlebihan mengimplementasikan Lastpass.

Otentikasi Dua Faktor

Jadikan Lastpass vault Anda lebih aman dengan mengaktifkan otentikasi 2-faktor (mereka menawarkan beberapa opsi, banyak di antaranya gratis). Ini membuat hampir mustahil bagi peretas untuk mengakses akun Anda, bahkan jika mereka memiliki kata sandi utama Anda.

Harga

Lastpass adalah layanan ‘Freemium’. Pada dasarnya itu benar-benar gratis untuk menggunakan akses terakhir di peramban web favorit Anda, tetapi Anda harus meningkatkan untuk menyinkronkan kata sandi ke ponsel cerdas atau perangkat seluler lainnya. Premium hanya $ 12 per tahun.

Dapatkan Lastpass

Dashlane (Sinkronisasi Cloud + Lokal | Freemium)

Dashlane adalah pengelola kata sandi Freemium lain seperti Lastpass. Mereka memiliki lebih banyak fitur tetapi versi gratis hanya berfungsi pada satu perangkat. Untuk memaksimalkan Dashlane, Anda harus meningkatkan ke paket premium mereka dengan biaya $ 39,99 / tahun.

Pengelola kata sandi Dashlane

Dashlane menyinkronkan kata sandi Anda yang kuat di semua perangkat

Cara Kerja Dashlane

Pada intinya, Dashlane sangat mirip dengan Lastpass. Basis data kata sandi Anda dienkripsi secara lokal menggunakan kata sandi utama yang hanya Anda yang tahu. Anda dapat dengan mudah mengakses kata sandi dengan ekstensi browser Dashlane (semua browser utama) atau aplikasi Dashlane di smartphone / tablet Anda.

fitur

  • Enkripsi AES 256-bit (Tanpa Pengetahuan)
  • Sinkronkan kata sandi Anda dengan aman dengan cloud
  • Akses kata sandi Anda dari perangkat apa pun
  • Ubah semua kata sandi Anda dalam 1 klik (didukung lebih dari 250 situs).
  • Pembuat kata sandi ‘Kuat’
  • Simpan informasi kartu kredit Anda dengan aman
  • otentikasi dua faktor (opsional)

Sejauh ini, fitur yang paling unik adalah perubahan kata sandi 1-klik, yang dapat secara instan mengubah semua kata sandi Anda di lebih dari 250 situs web paling populer di dunia seperti Evernote, Amazon, Spotify dan banyak lagi …

Harga

Dashlane gratis untuk 1 perangkat apa pun atau Anda dapat meningkatkan versi untuk $ 39,99 / tahun untuk mendukung beberapa perangkat.

Kunjungi Dashlane

Keepass (Database Lokal tanpa opsi sinkronisasi | Gratis)

Keepass adalah pengelola kata sandi yang sepenuhnya gratis yang menyimpan login / kata sandi Anda dalam basis data terenkripsi pada perangkat Anda sendiri. Ada proyek pihak ketiga yang menambahkan dukungan untuk perangkat seluler juga.

Keepass

Simpan basis data kata sandi lokal

Bagaimana itu bekerja

Nama pengguna / kata sandi semuanya disimpan dalam basis data lokal (di komputer Anda sendiri) yang dapat dienkripsi dengan pilihan algoritma sandi Anda termasuk: AES, Blowfish, atau Twofish.

Basis data dienkripsi menggunakan password kata sandi utama ’dengan opsi untuk menambahkan‘ file kunci ’jika Anda mau. Filefile adalah bentuk verifikasi dua faktor yang memungkinkan Anda untuk menggunakan file apa pun di komputer Anda sebagai ‘kunci’ sekunder yang diperlukan selain kata sandi.

Anda dapat menarik dan melepaskan login / kata sandi dari keepass ke browser web Anda, atau menggunakan salah satu dari banyak ekstensi gratis untuk mengisi secara otomatis bidang kata sandi langsung dari keepass.

Dukungan Seluler

Keepass awalnya dikembangkan hanya untuk mesin Mac dan Windows, tetapi juga telah diangkut ke iOS dan Android oleh pengembang pihak ke-3. Anda dapat menggunakan salah satu aplikasi berikut untuk menyinkronkan brankas Keepass Anda ke perangkat seluler Anda:

  • KeepassDroid (Android)
  • Keepass2Android (Android)
  • MiniKeePass (iOS)
Unduh Keepass

Bungkus

Sekarang Anda tahu mengapa kata sandi 6-9 karakter huruf kecil Anda sangat tidak aman, pastikan untuk mengambil langkah-langkah untuk melakukan sesuatu tentang hal itu. Satu-satunya orang yang mencari keamanan online Anda adalah kamu.

Tidak dapat dihindari bahwa peretas akan mencuri database yang berisi info masuk / perincian Anda (kemungkinan besar, sudah terjadi apakah Anda menyadarinya atau tidak).

Dengan menggunakan kata sandi yang kuat dan unik Anda dapat meminimalkan kemungkinan peretas melakukan rekayasa balik kata sandi Anda (dengan asumsi situs mengikuti praktik ‘hashing’ yang tepat). Dan dengan tidak pernah menggunakan kata sandi yang sama dua kali, Anda tidak perlu khawatir tentang kata sandi curian yang digunakan untuk masuk ke beberapa situs.

Simpan semua kata sandi Anda yang kuat dalam pengelola kata sandi (seperti kata sandi terakhir) dan tingkatkan keamanan Anda dengan otentikasi 2-faktor.

Peretas kebanyakan mencari buah yang mudah digantung (artinya orang dengan kata sandi yang pendek dan mudah). Dengan mengikuti aturan sederhana ini, Anda akan menjadikan diri Anda target yang jauh kurang menarik. Dapatkan itu.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map